Spring MVC防禦CSRF、XSS和SQL注入攻擊
說說CSRF
對CSRF來說,其實Spring3.1、ASP.NET MVC3、Rails、Django等都已經支援自動在涉及POST的地方新增Token(包括FORM表單和AJAX POST等),似乎是一個tag的事情,但如果瞭解一些實現原理,手工來處理,也是有好處的。因為其實很多人做web開發,但涉及到web安全方面的都是比較資深的開發人員,很多人安全意識非常薄弱,CSRF是什麼根本沒有聽說過。所以對他們來說,CSRF已經是比較高深的東西了。先說說什麼是CSRF?你這可以這麼理解CSRF攻擊:攻擊者盜用了你的身份,以你的名義傳送惡意請求。CSRF能夠做的事情包括:以你名義傳送郵件,發訊息,盜取你的賬號,甚至於購買商品,虛擬貨幣轉賬......造成的問題包括:個人隱私洩露以及財產安全。
其實即使不是在同一個頁面開啟,在不同的tab開啟也是一樣可以通過網站登入驗證的,因為受害者首先已經登入了網站,在瀏覽網站的過程中,若網站設定了Session cookie,那麼在瀏覽器程序的生命週期內,即使瀏覽器同一個視窗打開了新的tab頁面,Session cookie也都是有效的,他們在瀏覽器同一個視窗的多個tab頁面裡面是共享的(注:現在Gmail支援多個tab同時持有多個SessionID)。所以攻擊步驟是,第一,受害者必須在同一瀏覽器視窗(即使不是同一tab)內訪問並登陸目標站點;第二,這使得Session cookie有效,從而利用受害者的身份進行惡意操作。
再舉個實際的例子,假設我們介面上有刪除某一項的連結,例如:<a href="javascript:void(0)" onclick="region_del.do?name=0000001">Delete</a>;
其Java Spring MVC後臺有個函式是刪除某個item,注意是GET不是POST:
@RequestMapping(value = "region_del.do", method = RequestMethod.GET)
public String regionDel(@RequestParam String name, Locale locale)
{
//Delete region [email protected]
return "redirect:/region.html";
}點選介面上那個<a href="javascript:void(0)" onclick="region_del.do?name=0000001">Delete</a>連結,就後臺刪除某項,看起來非常正常啊。
好,現在你登入你的網站,然後在另外一個tab開啟這個html檔案:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>hack</title>
</head>
<body>
<img src="http://localhost/testsite/region_del.do?name=0000001"/>
</body>
</html>發現同樣被刪除了某項。試想,如果是網銀,你的錢已經被轉賬......(除了referer不一樣,session cookie被利用)
好了,現在 後臺改成POST(寫操作儘量用POST),前臺介面那個刪除的連結改成Form提交:
<form action="region_del.do" method="POST">
<input type="hidden" name="name" value="0000001">
<input type="submit" value="Delete" />
</form>看起來安全多了。OK,現在你登入你的網站,然後在另外一個tab開啟這個html檔案:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<title>Hack</title>
<script>
function steal(){
var mySubmit = document.getElementById('steal_form');
mySubmit.submit();
}
</script>
</head>
<body onload='steal()'>
<form id = "steal_form" method="POST" action="http://localhost/testsite/region_del.do">
<input type="hidden" name="func" value="post">
<input type="hidden" name="name" value="0000001">
</form>
</body>
</html>發現同樣被刪除了某項。試想,如果是網銀,你的錢已經被轉賬......
當然,你如果前臺還是用連結,但改成js,用AJAX POST提交,也是一樣的效果:
$.ajax({
type: "POST",
url:....
});解決辦法就是在Form表單加一個hidden field,裡面是服務端生成的足夠隨機數的一個Token,使得黑客猜不到也無法仿照Token。
先寫一個類,生成足夠隨機數的Token(注:Java的Random UUID已經足夠隨機了,參考這個和這個)
package com.ibm.cn.web.beans;
import java.util.UUID;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
/**
* A manager for the CSRF token for a given session. The {@link #getTokenForSession(HttpSession)} should used to
* obtain the token value for the current session (and this should be the only way to obtain the token value).
* ***/
public final class CSRFTokenManager {
/**
* The token parameter name
*/
static final String CSRF_PARAM_NAME = "CSRFToken";
/**
* The location on the session which stores the token
*/
public static final String CSRF_TOKEN_FOR_SESSION_ATTR_NAME = CSRFTokenManager.class
.getName() + ".tokenval";
public static String getTokenForSession(HttpSession session) {
String token = null;
// I cannot allow more than one token on a session - in the case of two
// requests trying to
// init the token concurrently
synchronized (session) {
token = (String) session
.getAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME);
if (null == token) {
token = UUID.randomUUID().toString();
session.setAttribute(CSRF_TOKEN_FOR_SESSION_ATTR_NAME, token);
}
}
return token;
}
/**
* Extracts the token value from the session
*
* @param request
* @return
*/
public static String getTokenFromRequest(HttpServletRequest request) {
return request.getParameter(CSRF_PARAM_NAME);
}
private CSRFTokenManager() {
};
}開啟Form頁面的時候在服務端生成Token並儲存到Session中,例如:model.addAttribute("csrf", CSRFTokenManager.getTokenForSession(this.session));
然後在Form中新增Hidden field:
<input type="hidden" name="CSRFToken" value="${csrf}" />
然後在後臺提交的時候驗證token :
@RequestMapping(value = "region_del.do", method = RequestMethod.GET)
public String regionDel(@RequestParam String name, @RequestParam String CSRFToken, Locale locale)
{
if(CSRFToken == null || !CSRFToken.equals(session.getAttribute(CSRFTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME).toString())){
logger.debug("CSRF attack detected. URL: region_edit.do");
return "redirect:/login.form";
}
//Delete region [email protected]
return "redirect:/region.html";
}你還可以把上面的步驟寫到BaseController裡面,或者寫到攔截器裡面,攔截所有POST請求,驗證CSRF Token。這裡掠過....
如果你用AJAX POST的方法,那麼後臺一樣,前臺也要有Hidden field儲存Token,然後在提交AJAX POST的時候加上該csrf引數即可。(更多csrf參考這個和這個。)
AJAX POST的CSRF防禦
首先在頁面進入的時候從後臺生成一個Token(每個session),放到一個Hidden input(用Spring tag或freemarker可以寫) 。然後在ajax post提交的時候放到http請求的header裡面:
var headers = {};
headers['__RequestVerificationToken'] = $("#CSRFToken").val();
$.ajax({
type: "POST",
headers: headers,
cache: false,
url: base + "ajax/domain/delete.do",
data: "id=123",
dataType:"json",
async: true,
error: function(data, error) {},
success: function(data)
{
}
});然後在後臺controller裡面校驗header裡面這個token,也可以把這個函式放到baseController裡面:
protected boolean isValidCsrfHeaderToken() {
if (getRequest().getHeader("__RequestVerificationToken") == null
|| session
.getAttribute(CSRFTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME) == null
|| !this.getRequest()
.getHeader("__RequestVerificationToken")
.equals(session
.getAttribute(
CSRFTokenManager.CSRF_TOKEN_FOR_SESSION_ATTR_NAME)
.toString())) {
return false;
}
return true;
}xss
關於xss的介紹可以看這個和這個網頁,具體我就講講Spring MVC裡面的預防:
web.xml加上:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>Forms加上:
<spring:htmlEscape defaultHtmlEscape="true" />
第二種方法是手動escape,例如使用者可以輸入:<script>alert()</script> 或者輸入<h2>abc<h2>,如果有異常,顯然有xss漏洞。
首先新增一個jar包:commons-lang-2.5.jar ,然後在後臺呼叫這些函式:StringEscapeUtils.escapeHtml(string); StringEscapeUtils.escapeJavaScript(string); StringEscapeUtils.escapeSql(string);
前臺js呼叫escape函式即可。
第三種方法是後臺加Filter,對每個post請求的引數過濾一些關鍵字,替換成安全的,例如:< > ' " \ / # &
方法是實現一個自定義的HttpServletRequestWrapper,然後在Filter裡面呼叫它,替換掉getParameter函式即可。
首先新增一個XssHttpServletRequestWrapper:
package com.ibm.web.beans;
import java.util.Enumeration;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values==null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
return cleanXSS(value);
}
public String getHeader(String name) {
String value = super.getHeader(name);
if (value == null)
return null;
return cleanXSS(value);
}
private String cleanXSS(String value) {
//You'll need to remove the spaces from the html entities below
value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("script", "");
return value;
}
}然後新增一個過濾器XssFilter :
package com.ibm.web.beans;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class XssFilter implements Filter {
FilterConfig filterConfig = null;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper(
(HttpServletRequest) request), response);
}
}最後在web.xml裡面配置一下,所有的請求的getParameter會被替換,如果引數裡面 含有敏感詞會被替換掉:
<filter>
<filter-name>XssSqlFilter</filter-name>
<filter-class>com.ibm.web.beans.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssSqlFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>(這個Filter也可以防止SQL注入攻擊)
假設登入頁面有個輸入使用者名稱和密碼的輸入框,可以有很多Xss/csrf/注入釣魚網站/SQL等的攻擊手段,例如:
輸入使用者名稱 : >"'><script>alert(1779)</script>
輸入使用者名稱: usera>"'><img src="javascript:alert(23664)">
輸入使用者名稱: "'><IMG SRC="/WF_XSRF.html--end_hig--begin_highlight_tag--hlight_tag--">
輸入使用者名稱: usera'"><iframe src=http://demo.testfire.net--en--begin_highlight_tag--d_highlight_tag-->
Web安全漏洞檢測工具
推薦使用IBM Rational AppScan(IBM Rational AppScan下載、版權購買和破解、註冊碼自己解決)
可以錄製指令碼,設定URL,如果網站需要登入,可以設定自動登入:
檢測結果還可以保持為專業的pdf檢測報告
業界安全程式設計標準最佳實踐
- OWASP Guide
- SANS CWE Top 25
- CERT Secure Coding
- The CERT Oracle Secure Coding Standard for Java
- The CERT Oracle Secure Coding Standard for C++
- The CERT Oracle Secure Coding Standard for C
- The CERT Oracle Secure Coding Standard for Perl
- 2011 CWE/SANS Top 25 Most Dangerous Software Errors
- Top 10 Secure Coding Practices
原文:https://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html